Une campagne de diffusion de malwares a été identifiée. Elle utilise des e-mails de phishing et des macros malveillantes (PowerShell) et la stéganographie pour diffuser un script Cobalt Strike malveillant.
Les premiers e-mails de phishing contiennent une pièce jointe Word (.doc) avec une macro malveillante qui télécharge un script PowerShell de GitHub si elle est autorisée à s’exécuter. Ce script télécharge à son tour un fichier image PNG à partir du service de partage d’images légitime Imgur. L’image contient un code caché dans ses pixels qui peut être exécuté avec une seule commande pour exécuter la charge utile. Dans ce cas, il s’agit d’un script Cobalt Strike.
Cobalt Strike est un outil de test de pénétration couramment utilisé. S’il est utilisé par les professionnels de la sécurité à des fins de sécurité légitimes, il est également utile aux pirates informatiques. L’outil permet d’ajouter des balises aux dispositifs compromis, qui peuvent ensuite être utilisées pour exécuter des scripts PowerShell, créer des shells web ; augmenter les privilèges et fournir un accès à distance à certains dispositifs. Dans cette campagne, le fait de cacher le code dans l’image et d’utiliser des services légitimes tels que Imgur et GitHub ont aidé les attaquants à éviter la détection.
Le masquage du code dans les fichiers image est connu sous le nom de stéganographie et est utilisé depuis de nombreuses années comme moyen de dissimuler du code malveillant, généralement dans des fichiers PNG pour éviter que le code ne soit détecté. Lors de cette campagne, la tromperie ne s’est pas arrêtée là. Le script Cobalt Strike comprenait une chaîne EICAR destinée à tromper les solutions de sécurité et les équipes de sécurité en classant le code malveillant comme une charge utile antivirus, sauf si un contact est établi avec le serveur de commande et de contrôle de l’attaquant et que des instructions sont reçues.
Cette campagne a été identifiée par le chercheur ArkBird qui l’a comparée à celle menée par un groupe de pirates, connu sous le nom de Muddywater, qui a émergé vers 2017. Le groupe, Static kitten/Seedworm/Mercury, mène principalement des attaques sur des pays du Moyen-Orient, généralement l’Arabie Saoudite et l’Irak, bien qu’il soit connu pour mener des attaques sur d’autres cibles européennes et américaines. Cependant, il n’est pas certain que c’est ce groupe qui est le responsable de la campagne.
Naturellement, l’un des meilleurs moyens de bloquer ce type d’attaques est d’empêcher que des e-mails malveillants arrivent dans les boîtes de réception des utilisateurs finaux. Un filtre antispam tel que SpamTitan – qui intègre un système de sandboxing permettant d’analyser les pièces jointes en toute sécurité – permettra de s’assurer que ces messages n’arrivent pas dans les boîtes de réception de vos employés. Il est également recommandé de former les utilisateurs finaux afin que ces derniers soient conscients qu’ils ne doivent jamais activer les macros dans les documents Word envoyés par courrier électronique.
Une solution de filtrage web est également utile. Les filtres web tels que WebTitan peuvent être configurés pour donner aux équipes informatiques le contrôle sur le contenu web auquel les employés peuvent accéder. Étant donné que GitHub est couramment utilisé par les professionnels de l’informatique et d’autres employés à des fins légitimes, il n’est pas recommandé de bloquer le site à l’échelle de l’organisation. À la place, un blocage sélectif peut être placé pour des groupes d’employés ou des départements qui empêche GitHub et d’autres sites de partage de code potentiellement risqués (tels que PasteBin) d’être accessibles, délibérément ou non. Cette solution fournit un niveau de protection supplémentaire pour votre organisation.
Au cours des derniers mois, les attaques de phishing contre les cabinets d’avocats se sont multipliées.
Les cybercriminels attaquent les cabinets d’avocats pour avoir accès aux données hautement confidentielles détenues par les avocats.
Les pirates informatiques attaquent souvent les établissements de soins de santé pour obtenir des données sensibles sur les patients pour le vol d’identité et la fraude fiscale.
Les cabinets d’avocats sont des données précieuses pour les attaques de phishing
Les attaques de phishing contre les cabinets d’avocats, d’autre part, leur servent à voler des données à des fins de délit d’initié. Des données sont également volées pour permettre aux cybercriminels de faire chanter les cabinets d’avocats.
Les cabinets d’avocats sont menacés par la publication de données très sensibles sur leurs clients, qui pourraient nuire à leur réputation, si des paiements importants ne sont pas effectués.
Étant donné que les cabinets d’avocats détiennent des documents secrets, y compris des informations potentiellement préjudiciables sur leurs clients, il n’y a pas que les cabinets d’avocats sont victimes d’un tel chantage.
Les clients sont également contactés et menacés. Les profits que l’on peut tirer du délit d’initié sont énormes. Les données détenues par les cabinets d’avocats sont d’une valeur inestimable.
Il n’est donc pas surprenant que les attaques de phishing contre ces établissements se multiplient. Les cybercriminels les considèrent comme des cibles parfaites.
L’année dernière, plus de 50 cabinets d’avocats ont été pris pour cible par des pirates informatiques russes au moyen d’une campagne de spear phishing.
L’objectif de cette attaque était de recueillir des informations susceptibles d’être utilisées pour des délits d’initiés.
Le groupe, appelé Oleras, s’est attaqué à certains des cabinets d’avocats les plus connus opérant aux États-Unis, notamment Cravath Swaine & Moor LLP et Gotshal and Manges LLP.
Cependant, bien que ces attaques aient été dommageables, elles ont sans doute causé moins de dommages que celles menées à l’encontre de Panama Papers Breach — la plus grande violation de données par un cabinet d’avocats de l’année.
Cette attaque a provoqué le surprenant vol de 2,6 téraoctets de données volées par les assaillants — des documents révélant des activités bancaires extrêmement délicates de criminels, hommes politiques, athlètes et hommes d’affaires.
Des données de plus de 214 000 entreprises avaient révélé à la suite de cette attaque menée contre un cabinet d’avocats.
Les cabinets d’avocats doivent s’assurer que des pare-feu sont en place ainsi qu’une foule d’autres mesures de protection contre la cybersécurité pour empêcher le piratage de leurs systèmes.
Pourtant, les atteintes à la protection des données commencent trop souvent par des attaques de phishing.
A titre d’exemple, un simple email contenant un lien vers un site Web a été envoyé aux boîtes de réception des avocats et notaires.
Les liens ont été cliqués et les utilisateurs ont été dupés, révélant ainsi leurs identifiants de connexion aux réseaux et aux comptes de messagerie.
Les justificatifs d’identité ont été ensuite saisis et utilisés par les pirates pour accéder à des données sensibles.
Comment faire face à ses attaques de phishing ?
Le filtrage des sites Web des cabinets d’avocats est désormais une protection aussi essentielle que l’utilisation de logiciels antivirus.
Les logiciels antivirus peuvent détecter les tentatives d’installation de malwares — bien qu’ils soient de moins en moins efficaces à cet égard –, mais ils ne contribuent pas à la prévention des attaques de phishing.
Un filtre Web protège les cabinets d’avocats en empêchant les utilisateurs de visiter des liens malveillants dans les emails.
Une solution de filtrage de sites Web empêche également les utilisateurs finaux de télécharger des malwares ou d’accéder à des sites Web connus pour présenter un risque élevé d’infection par un ransomwares ou un malware.
Par ailleurs, un filtre Web empêche les employés des cabinets d’avocats de visiter accidentellement des sites Web de phishing lorsqu’ils naviguent sur Internet.
En plus d’une solution robuste de filtrage des spams qui empêcher l’envoi de ransomwares, les cabinets d’avocats peuvent rendre leurs réseaux et leurs comptes de messagerie beaucoup plus sécurisés.
La menace du phishing est toujours présente. En fait, le phishing reste la principale cause de violation des données. Il suffit qu’un employé ouvre un e-mail de phishing pour que les pirates prennent pied et mènent des attaques plus importantes contre votre organisation.
Mais à quel point le phishing est-il courant ? Dans ce dossier spécial, nous fournissons quelques statistiques clés sur le phishing pour 2021 afin de sensibiliser vos employés à l’importance de la menace et de souligner la nécessité de repenser la protection actuelle de votre entreprise contre le phishing.
Statistiques sur le phishing en 2021
Le phishing est le moyen le plus facile pour les cybercriminels d’accéder à des données sensibles et de distribuer des malwares. Peu de compétences ou d’efforts sont nécessaires pour mener à bien une campagne de phishing et voler des identifiants ou infecter les utilisateurs avec des malwares.
Les derniers chiffres montrent qu’en 2021, 22 % des violations de données signalées ont commencé par un e-mail de phishing. Certaines des plus grandes violations de données de l’histoire ont également débuté par une attaque de phishing, notamment la violation de 78,8 millions de données d’enregistrement chez l’entreprise d’assurance maladie Anthem Inc. Par ailleurs, l’entreprise Home Depot a été la victime de vol des adresses électroniques de 53 millions de personnes en 2014.
Le phishing peut être effectué par téléphone, par SMS, via les réseaux sociaux ou par le biais des plateformes de messagerie instantanée. Cependant, c’est le courrier électronique qui est le moyen le plus utilisé.
Environ 96 % de toutes les attaques de phishing se font par e-mail. Les attaques réussies entraînent la perte de données, le vol d’informations d’identification ou l’installation de malwares et de ransomwares. Le coût de la résolution des incidents et des violations de données qui en résultent est considérable. Le rapport 2021 Cost of a Data Breach (Coût d’une violation de données en 2021) du Ponemon Institute/IBM Security a révélé que le coût moyen d’une violation de données est d’environ 150 dollars par enregistrement compromis, pour un coût total de 3,86 millions de dollars par violation. Une seule attaque de spear phishing coûte environ 1,6 million de dollars.
Les employés peuvent croire qu’ils sont capables de repérer les e-mails de phishing, mais les données des entreprises de formation à la sécurité montrent que dans de nombreux cas, cette confiance est mal placée. Une étude réalisée en 2021 a révélé que 30 % des utilisateurs finaux ont ouvert des e-mails de phishing ; 12 % des utilisateurs ont cliqué sur un lien malveillant ou ouvert la pièce jointe de l’e-mail et un utilisateur sur huit a ensuite partagé des données sensibles sur des sites de phishing. Rappelons que 78 % des utilisateurs ont déclaré savoir qu’ils ne devaient pas ouvrir les pièces jointes d’un e-mail provenant d’un expéditeur inconnu ou cliquer sur les liens contenus dans les e-mails non sollicités.
Les statistiques de 2021 sur le phishing montrent que le phishing et le spear phishing sont encore courants et que les attaques de phishing réussissent souvent.
Une autre étude a révélé que 85 % des entreprises ont été victimes d’une attaque de phishing au moins une fois. Des sites web de phishing sont constamment créés et utilisés dans ces escroqueries. Une fois qu’une URL est confirmée comme étant malveillante et ajoutée à une liste noire, elle a souvent été déjà abandonnée par les pirates. En 2021, environ 1,5 million de nouvelles URL de phishing ont été identifiées chaque mois.
L’année 2021 semble avoir été marquée par une augmentation massive des attaques de ransomwares. Alors que les pirates exploitent souvent les réseaux compromis, les vulnérabilités des pare-feu, des VPN, des RDP et des équipements de réseau, ils envoient également des ransomwares via les e-mails. Depuis 2016, le nombre d’e-mails de phishing contenant des ransomwares a augmenté de plus de 97 %.
Comment détecter et bloquer les menaces de phishing ?
La lutte contre le phishing et la prévention des attaques réussies nécessitent une approche de défense en profondeur. Une solution avancée de filtrage du spam est indispensable pour empêcher les e-mails de phishing d’atteindre les boîtes de réception de vos employés.
Les entreprises qui utilisent Office 365 s’appuient souvent sur les protections fournies en standard avec leurs licences, mais des études ont montré que le niveau de protection de base fourni par la protection Exchange Online (EOP) de Microsoft est insuffisant et moyen au mieux, et que les e-mails de phishing ne sont souvent pas détectés.
Il est recommandé d’utiliser une solution tierce pour compléter Office 365 – une solution qui intègre l’apprentissage machine pour identifier les menaces de phishing jamais vues auparavant. La solution devrait utiliser des protocoles d’authentification du courrier électronique tels que DMARC, DKIM et SPF pour identifier et bloquer les attaques d’usurpation d’identité par courrier électronique et l’analyse des messages sortants pour identifier les boîtes aux lettres compromises.
La formation des utilisateurs finaux est également importante. Dans le cas où un e-mail de phishing arrive dans une boîte de réception, les employés doivent être formés pour l’identifier. Les filtres web sont également importants pour bloquer les e-mails de phishing et pour empêcher vos employés de visiter les URL de phishing. Enfin, vous devez savoir que l’authentification multifactorielle des comptes de messagerie électronique est essentielle. En cas de vol des identifiants, ce système vous permet de garantir que les identifiants ne puissent être utilisés pour accéder aux comptes de messagerie de vos employés.
Les pirates informatiques ont ciblé les utilisateurs de PDF avec une nouvelle technique d’injection. Les pièces jointes au format PDF ont été couramment utilisées comme cheval de Troie qui télécharge des malwares ou des ransomwares sur les appareils des utilisateurs de courrier électronique sans méfiance.
Cependant, les pirates ciblent maintenant les fichiers PDF eux-mêmes en utilisant des techniques d’injection de code. L’une de ces attaques, découverte au début du mois, permet aux pirates d’injecter du code qui lance des attaques de type « cross-site scripting » (XSS) dans le document PDF lui-même. L’objectif final de ces attaques est d’extraire des données sensibles des fichiers PDF.
Qu’est-ce qu’une attaque XSS ?
Selon l’OWASP (Open Web Application Security Project), les attaques XSS sont couramment utilisées pour injecter des scripts malveillants dans des sites web bénins et fiables. L’OWASP a classé les attaques XSS dans son Top 10 des menaces pour la sécurité des applications web depuis qu’il a commencé à publier cette célèbre liste il y a près de 20 ans.
Lorsqu’il est utilisé au sein d’applications web, le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script malveillant ne doit pas être fiable et l’exécute. Une fois le script exécuté, l’attaquant peut accéder à des cookies, des jetons de session ou d’autres informations sensibles conservées par le navigateur de l’utilisateur lors d’une session web. Les exploits XSS peuvent être mis en œuvre n’importe où avec une application web.
Pourquoi les attaques par injection de PDF constituent-elles une menace ?
Les pirates n’utilisent pas d’attaques par injection pour accéder aux fichiers PDF ordinaires des bureaux. La véritable cible est constituée par les fichiers PDF générés côté serveur qui sont créés en permanence dans le monde numérique actuel. Ils se présentent sous la forme de billets électroniques, de reçus, de cartes d’embarquement, de factures, de fiches de paie, etc. Si des pirates informatiques parviennent à accéder à ces documents et à influencer la structure du PDF lui-même, ils peuvent injecter du code et capturer les données incluses.
Par exemple, si un pirate peut contrôler une partie d’un PDF qui contient des coordonnées bancaires, ces coordonnées peuvent être exfiltrées et téléchargées vers un site malveillant. Quand on sait la quantité de fichiers PDF avec lesquels nous travaillons tous, on comprend pourquoi les pirates les ciblent avec autant de vigueur.
Comment fonctionne l’attaque par injection de PDF ?
La menace d’injection de PDF récemment découverte fonctionne de la même manière que la méthode traditionnelle d’attaque des applications web. Dans le cas des fichiers PDF, les pirates profitent de ce que l’on appelle les caractères d’échappement, en particulier les barres obliques inverses et les parenthèses. Ces caractères d’échappement sont généralement utilisés pour accepter les entrées de l’utilisateur dans les flux de texte ou les URL d’annotation. Cela ouvre la porte à un pirate informatique qui peut ainsi injecter ses propres URL ou code JavaScript.
En injectant leurs propres caractères d’échappement, les pirates peuvent injecter leur propre code. L’injection d’un simple lien peut facilement compromettre l’ensemble du contenu d’un PDF, selon l’un des chercheurs qui ont découvert la méthodologie d’attaque. Cette méthodologie d’attaque a été démontrée lors d’une récente conférence en ligne de Black Hat en Europe ce mois-ci, montrant à quel point il était facile de télécharger des données exfiltrées sur un serveur distant en utilisant un simple lien injecté. Les présentateurs ont également révélé le fait que certaines des plus grandes bibliothèques PDF du monde sont vulnérables aux attaques par injection.
Comment éviter une telle attaque ?
Ce qui rend les attaques XSS possibles, c’est un codage bâclé. De la même manière que les utilisateurs ordinaires prennent des raccourcis lorsqu’il s’agit de créer un mot de passe, les développeurs de code prennent souvent des raccourcis lorsqu’ils écrivent du code Web 2.0. Dans le cas des injections de fichiers PDF, cela est dû au fait que les bibliothèques PDF ne parviennent pas à analyser correctement le code de ces types de caractères d’échappement dans les formats non protégés.
Dans le cas d’une vulnérabilité spécifique, Adobe a publié le 9 décembre une mise à jour de sécurité qui corrige cette faille de sécurité. Si votre organisation crée des PDF sous quelque forme que ce soit, il est fortement recommandé d’installer immédiatement la mise à jour.
TitanHQ peut vous aider à vous protéger contre les menaces liées aux PDF
Bien que TitanHQ ne puisse pas vous aider à analyser vos bibliothèques PDF, nous pouvons vous protéger des pièces jointes PDF infectées par des malwares. Notre solution avancée de sécurité des e-mails, appelée SpamTitan, est conçue pour découvrir et éradiquer les pièces jointes qui contiennent des virus et des codes malveillants. Pour ce faire, elle utilise une double protection antivirus et des techniques de sandboxing.
Prenez contact avec l’un des membres de l’équipe SpamTitan pour savoir comment mieux vous protéger contre les pièces jointes infectées par des malwares.
Peu importe le nombre de solutions de cybersécurité que vous avez déployées ou la maturité de votre programme de sécurité informatique, il est toujours essentiel d’élaborer un programme efficace pour sensibiliser à la sécurité vos salariés et s’assurer qu’ils reçoivent une formation pour reconnaître les menaces par email.
Les pirates informatiques utilisent maintenant des tactiques très sophistiquées pour installer des malwares, des ransomwares ou pour obtenir des informations d’identification.
Pour eux, la messagerie électronique est le moyen le plus efficace pour lancer une attaque.
Les entreprises sont les plus ciblées. Ce n’est qu’une question de temps avant qu’un email malveillant ne soit livré à la boîte de réception d’un de vos employés.
Il est donc essentiel que ces derniers soient formés à reconnaître les menaces par email et qu’on leur dise comment réagir lorsqu’un email suspect arrive dans leur boîte de réception.
Le fait de ne pas fournir une formation de sensibilisation à la sécurité à votre personnel équivaut à de la négligence et laissera un trou béant dans vos défenses contre les attaques informatiques.
Pour vous aider à vous mettre sur la bonne voie, nous avons dressé la liste des éléments clés d’un programme efficace de sensibilisation à la sécurité.
Éléments importants d’un programme efficace pour sensibiliser à la sécurité vos salariés
Faites participer la C-Suite
L’un des points de départ les plus importants est de s’assurer que la C-Suite est à bord.
Avec la participation du conseil d’administration, vous serez probablement en mesure d’obtenir des budgets plus importants pour votre programme de formation en sécurité et il devrait être plus facile de mettre votre plan en œuvre pour que tous les services de votre organisation puissent en bénéficier.
Dans la pratique, il peut être difficile de convaincre les cadres supérieurs d’appuyer un programme de sensibilisation à la sécurité.
L’une des meilleures tactiques à adopter pour maximiser les chances de succès est d’expliquer clairement l’importance de développer une culture de sécurité puis de l’étayer par les avantages financiers qui découlent d’un programme de sensibilisation efficace.
Fournir des données sur l’ampleur des attaques, le volume des emails de phishing et de emails malveillants envoyés et les coûts que d’autres entreprises ont dû assumer pour atténuer les attaques par email.
L’Institut Ponemon a mené plusieurs enquêtes d’envergure et fourni des rapports annuels sur le coût des cyberattaques et des atteintes à la protection des données.
C’est une bonne source concernant les attaques cybercriminels qui sont appuyés par des chiffres.
Les entreprises de formation à la sensibilisation à la sécurité constituent également une bonne source de statistiques pour argumenter l’importance d’une formation à la cybersécurité.
Présentez clairement l’information et montrez les avantages du programme et ce dont vous avez besoin pour en assurer le succès.
Obtenir la participation d’autres départements
Le service informatique ne devrait pas être le seul responsable de l’élaboration d’un programme efficace de sensibilisation à la sécurité.
D’autres départements peuvent également fournir de l’aide et être en mesure d’offrir du matériel supplémentaire.
Essayez d’obtenir l’appui du service du marketing, des ressources humaines, du service de la conformité et des agents de protection de la vie privée.
Les personnes extérieures à l’équipe de sécurité peuvent apporter une contribution précieuse non seulement en termes de contenu, mais également en termes de conduite de la formation pour obtenir les meilleurs résultats.
Élaborer un programme continu pour sensibiliser à la sécurité
Une séance de formation en salle de classe donnée une fois par an aurait peut-être été suffisante.
Mais compte tenu de l’évolution rapide des menaces et du volume d’emails de phishing envoyés par les pirates de nos jours, une séance de formation annuelle n’est plus suffisante.
La formation devrait être un processus continu offert tout au long de l’année, avec des renseignements à jour sur les menaces actuelles et nouvelles.
Chaque employé est différent, et même si les séances de formation en classe fonctionnent pour certains, elles ne fonctionnent pas pour tous.
Élaborez un programme de formation à l’aide de diverses méthodes de formation, y compris des séances de formation annuelles en classe, des séances de formation informatisées régulières.
Vous pouvez aussi avoir recours aux affiches, aux jeux, aux bulletins et alertes par email pour que les employés puissent garder à l’esprit les enjeux en matière de sécurité informatique.
Incitations aux jeux de hasard et d’argent
Identifiez les personnes qui ont suivi une formation, qui ont alerté l’organisation d’une nouvelle menace de phishing ou qui ont obtenu d’excellents résultats lors des séances de formation et des tests de sensibilisation à la sécurité.
Essayez de créer une concurrence entre les départements en publiant des informations détaillées sur ceux qui ont été particulièrement performants ou qui ont présenté le pourcentage le plus élevé d’employés ayant :
Terminé leur formation
Signalé le plus grand nombre de menaces de phishing
Réussi le plus grand nombre de tests ou identifié correctement le plus grand nombre d’emails de phishing.
Idéalement, la formation de sensibilisation à la sécurité devrait être agréable.
Si la formation est amusante, les employés sont plus susceptibles de vouloir y participer et de conserver les connaissances qu’ils ont acquises.
Utilisez des techniques de jeu et choisissez des fournisseurs de formation en sensibilisation à la sécurité qui offrent un contenu intéressant et attrayant.
Testez les connaissances en matières de sécurité des salariés grâce aux simulations de phishing par email
Vous pouvez organiser une séance de formation, mais si vous ne testez pas la capacité de vos employés en matière de cybercriminalité, vous ne saurez pas à quel point votre programme de formation a été efficace et si vos employés ont été attentifs.
Avant de commencer votre programme de formation, il est important d’avoir une base de référence qui vous permettra de mesurer son succès.
Pour ce faire, vous pouvez utiliser des questionnaires de sécurité et effectuer des exercices de simulation de phishing.
La réalisation d’exercices de simulation utilisant des exemples réels d’emails de phishing après la formation mettra en évidence les employés qui sont des titans de la sécurité et ceux qui ont besoin de formation supplémentaire.
Un exercice de simulation de phishing raté peut être considéré comme une occasion d’organiser une nouvelle formation.
La comparaison des résultats avant et après le programme montrera les avantages de votre programme et pourrait vous aider à obtenir plus de financement.
Formez régulièrement vos employés et testez leur niveau de compréhension.
Dans un laps de temps relativement court, vous pouvez développer un pare-feu humain hautement efficace qui complète vos défenses technologiques en matière de cybersécurité.
Si un email malveillant passe votre filtre antispam, vous pouvez être sûr que vos employés auront les compétences nécessaires pour reconnaître la menace et alerter votre équipe de sécurité.
